Vlákno názorů k článku
OpenID: Historie, terminologie a mechanismus autentizace

Zdravím a děkuji za seriál o mikroformátech.
Zajímala by mě jedna věc - pokud uchovámám citlivé informace o svých zákaznících ve své DB a nabídnu jim možnost se autorizovat do mé aplikace pomocí OpenID, nejsem pak v konfliktu se zákonem 101/2000 sb.? Třetí strana (OpenID provider) pak dostává přístup k datům mých zákazníků.

Martin mne kdyžtak opraví kdybych to popletl...

OpenID provider nedostává nic. Proč taky? K čemu by OpenID provider potřeboval například adresu klienta nebo údaj o velikosti jeho ponožek? OpenID slouží jako autorizační metoda, žádná data o nikom neshromažďuje.

Stejně tak pokud provážete již existující účet s OpenID, tak zde stále dochází pouze k ověřování uživatele a jeho oprávnění přístupu k webu. Konečně při implementaci můžete připojit script na logování komunikace a sám si ověřit jaká data OpenID sbírá :)

Chápu, že si OpenID provider nemůže nic nasbírat s mých dat o mém zákazníkovi, ale má v ruce jeho údaje o přihlášení a může se tudíž přihlásit ke mě a podívat se, co tam mám. A rozumím, že záleží na serióznosti providera. Sám doufám, že to není tak snadné, rád bych OpenID nasadil.

Co se týká těch přihlašovacích údajů, tak odpověď nechám Martinovi. Tak dalece tomu nerozumím a netuším, zda si vůbec něco ukládá. Já mám pocit, že si nic neukládá, protože jsem nikdy na OpenID nezadával heslo k žádné své registraci, vždy jen heslo k OpenID.

Přihlásit se může, stejně tak se ale může "přihlásit" poskytovatel jeho emailu pomocí funkce zapomenuté heslo.

Provider sbírá pouze Trust Root URL, tedy URL rootu Vašeho webu.

Heslo je u něj v databázi zašifrováno, takže jediný způsob, jak by se mohl dostat k Vám na web pod údaji Vašeho zákazníka je podle mě obcházení vlastního systému nebo odchytávání uživatelových dat (pokud nepoužívá SSL).

P.S. - Sám jsem si knihovnu pro OpenID napsal, takže toho o tom vím relativně dost. Jediné dva údaje, které je zákazník povinen uvést u OpenID providera, jsou heslo a email. Nic víc nepotřebuje a neshromažďuje.

Ale toto se týká pouze solidních providerů. Pokud se klient zaregistruje u špatného providera, tak to má na vlastní nebezpečí, ale rozhodně se mu do ruky nedostanou, žádné údaje z Vaší databáze, pokud mu je sám nepošlete.

Heslo uzivatele je ulozene jako hash pouze tehdy pokud si to provider OpenID pral. (ale to je stejne nepodstatne)

Ve skutecnosti pokud moje sluzba nebude pozadovat dodatecne heslo ma provider OpenID vse co potrebuje. Protoze moje sluzba se od nej pouze dozvi jestli se jedna skutecne o toho uzivatele. A provider rekne ano kdyz on chce (standartne po zadani hesla, ale proc treba ne, po zadani admin hesla OpenID providera?)

Prestavte si to jako kdyz za vama do obchodu prijde zakznik. Rekne ja jsem Pepa Novak a na uctu mam 5 000 Kc muzu si u vas nakoupit? A vy se zeptat, jak vim ze jde Pepa Novak? On rekne, to vam povi Filip Zhorelec, tady mate na neho kontakt. Vy zvednete telefon podate ho zakaznikovi, od nadyktuje svoji identifikaci a preda vam telefon, na druhem konci vam Filip Zhorelec rekne, ano skutecne komunikujete s Pepou Novakem.

Jakou informaci mate? Vite jiste, ze komunikuj s Pepou Novakem? Ne vite jenom, ze ten o kom telefoni seznam tvrdi ze je Filip Zhorelec vam rekl, ze komunikujete s Pepou Novakem. Zatimco vidavatel telefoniho seznamu (certifikatu) je relativne duveryhodny, tak Filip Zhorelec, muze byt zcela neduveryhodny a zitra vam rekne o komkoli jinem ze take on je Pepa Novak.

1) Nezda se Vam, ze pokud bude mit provider OpenID kompletni historii "URL rootu" vsech webu, ktere jste navstivil (a autentifikoval se tam pomoci OpenID), tak se jedna o dost citlive informace, ktere nelze sverit kazdemu? Paradoxne pokud se autentifikujete primitivne na kazdem webu zvlast, tato slabina nevznika. Ano, Vas poskytovatel Internetu zna kazdou IP adresu, s kterou jste komunikoval ale celkem nic s tim nenadelame (az na TOR ...). Ale rozdil vidim v tom, ze typicky poskytovatel OpenID (Seznam, Google, ...) je spolecnost orientovana na obchod s informacemi ve velkem a snaha tyto informace obchodne vytezit se od ni necha s jistotou ocekavat.

2) Nemuze ziskat poskytovatel OpenID kompletni historii Vasich URL, pokud se bude autentifikovat kazda stranka (nevim jestli je to bezne)?

1) Pokud tímto trpíte, tak si založte vlastního open-id providera. Tím budete mít kontrolu nad svými daty a ještě budete moci využívat výhody open-id. Nicméně myslím, že Google by byl šokován kdyby zjistil, že chodíte také na facebook a občas na spolužáci.cz a když se chcete hodně odvázat jdete na diskutovat pod videa na stream.cz.

Ale čistě obecně, pokud chodíte na nějakou stránku u které nechcete, aby to o vás kdokoliv věděl, tak se tam prostě nepřihlašujte pomocí open-id. Tímto způsobem získáte zpět kontrolu nad svým soukromím.

ad 2 - jestli myslíte "historii vašeho pohybu po dané službě", tak nezíská, protože uživatel je autentizován pouze jednou, při vstupu do "chráněné oblasti". Je na službě, aby si zapamatovala, že jde o autentizovaného uživatele. Kdyby byl uživatel autentizován znovu na každé stránce, bylo by to neúnosné a nesmyslné.

Pokud máte na mysli "každou stránku = každý web", tak ano, může získat (a získává) seznam webů, na nichž jste se přihlásil. Pokud se budete pohybovat pouze po webech s přihlášením via OpenID, tak získá KOMPLETNÍ seznam.

Dokud budou všechny prohlížeče náchylné k CSS exploitu, tak openid neopenid, informace o tom, které weby navštěvuji, se stejně nějakým způsobem dostane ven (o něco komplikovanějším, ale zase ji mají k dispozici skoro všichni).

Hezké, možná to použiju v dalším díle Oblíbených Mýtů O OpenID. :)

V zásadě to je tak, jak píšete: Ano, neseriózní provider se teoreticky může přihlásit s OpenID identitou libovolného svého uživatele. To riziko tu je.

Ovšem na druhou stranu - internet je založen na důvěře. Věříte, že váš poskytovatel má správné údaje v DNS a že nemá důvod vám posílat falešné. Věříte, že hostingová firma nekouká do vašich mailů a do vašich databází. Věříte, že v systémech nejsou backdoors, kterými by do nich NĚKDO nahlížel. Věříte, že v AES nejsou "univerzální klíče". Váš prohlížeč věří, že klíč, o němž Verisign prohlašuje, že je důvěryhodný, je opravdu důvěryhodný. Atakdále. Ostatně, věříte své bance, že vaším jménem nebude někde nakupovat?

U OpenID je situace analogická: Věříte, že když Verisign (Seznam, MyOpenID, ...) potvrdí, že uživatel XYZ je opravdu XYZ, tak že nemá důvod podvádět, a zároveň věříte, že nemá důvod falšovat vaše přihlášení.

Pokud nevěříte, tak vám nepomůže ani vlastní OpenID provider na vlastním serveru na páteřní síti - co když je v systému bezpečnostní díra, o které nevíte, a někdo tak může získat kontrolu nad vaším strojem? A podobných analogických "oprávněných strachů" bych mohl jmenovat víc.

Zkrátka: Musíte aspoň někomu důvěřovat, nebo alespoň odlišovat někoho, komu věříte víc, a někoho, komu věříte míň, a podle toho jim svěřovat svá data. Paranoia je v rozumné míře oprávněná, pokud ovšem rozumnou míru překročí, tak zjistíte, že nemůžete věřit nikomu a že vám pomůže už jen odpojit se od internetu, spát v alobalové krychli a jíst jódové tablety.

No tady se ani tak nejedna o identifikaci uzivatele v blozich, diskusich a chatech. I na jine sluzby, kde hlavnim smyslem registrace, je uchovavani uzivatelskeho nastaveni pro uzivatele.

V pripade, ze ale hodlate komunikovat se zakaznikem a pomoci vaseho systemu si sdelovat duverne informace obchodniho charakteru, tak je OpenID zcela nevhodne. Stejne tak je naprosto nevhodne pro pouziti vsude tam, kde je vyzadovan souhlas podle zakona 101, protoze tam jde take o duverne informace.

Takze jednoznacne OpenID ano, tam kde informace nejsou duverne. OpenID ne, kde se pracuje s duvernymi informacemi.

Otázka důvěryhodnosti poskytovatele OpenID identity je stejná jako otázka důvěryhodnosti vašeho providera, vašeho hostingu, správce vašeho serveru, otázka důvěryhodnosti Seznamu, PayPalu, Google, brány pro kreditní karty apod. Až pominou rozjitřené vášně, tak lidé zjistí, že s bezpečností OpenID to je stejné jako s jinými nástroji: Stačí u toho přemýšlet. A stejně jako nezakládám e-mailovou firemní schránku u nějakého Joudy, stejně jako nehostuju servery s důležitými informacemi "u kamaráda v ložnici", stejně jako nepoužívám připojení, co za mne blokuje obsah, který bych neměl vidět, a stejně jako neposílám peníze potomkům nigerijského krále, tak si vyberu i důvěryhodného poskytovatele OpenID, který se nebude přihlašovat "za mne".

"V pripade, ze ale hodlate komunikovat se zakaznikem a pomoci vaseho systemu si sdelovat duverne informace obchodniho charakteru, tak je OpenID zcela nevhodne." - 1. Proč? 2. Je tedy něco vhodného?

"OpenID ne, kde se pracuje s duvernymi informacemi." - Otázkou je míra důvěrnosti těch informací. Jak jsem už říkal: Do banky bych to nepoužil, na e-shop klidně (já svému OpenID poskytovateli věřím). Rozhodně bych tu viděl použití OpenID méně problematické než použití HTTP autentifikace Plain (nebo dokonce jméno+heslo poslané přes nešifrované http).

Mimochodem, tam, kde se pracuje s Opravdu Důvěrnými Informacemi, se hlavně nepracuje s ničím jiným a přístup tam nezískává kdejaký jouda, takže to je zcela jiná kategorie, mimo záběr tohoto článku.

Ano presne tak, z pohledu men jako poskytovatele sluzby, tim akorat do hry dostavam dalsi moznou bespecnostni diru, protoze i poskytovatel. (ps. zapomenute heslo po mailu posle i openId provider).

Tam kde mne to netrapi je to v pohode, nicmene je to proste dalsi dira a dalsi okruh lidi, kteri maji pristup do me sluzby, aniz by k tomu byli opravneni.

P.S.: Prirovnal bych to ke zbranim. Proc mame nejake registry zbrani, kdyz se k nim pripadny zlocinec stejne dostane?

Díky pánům Malému a benzinu za užitečné podněty, něco jsem nastudoval a už mám řekněme jasno.